러시아는 군대만이 아니라 해커 부대들로도 우크라이나를 침공했다. 러시아의 전적을 봤을 때 지금 위기인 건 우크라이나의 사이버 공간만이 아니다. 전 세계, 특히 러시아와 적대적 관계를 맺고 있는 나라들에 긴장감이 돌고 있다.
[보안뉴스 문정후 기자] 우크라이나에서의 위기 상황이 고조되고 있으며, 러시아는 생각보다 승리를 쉽게 쟁취하지 못할 것처럼 보인다. 이 때문에 생각지도 못한 효과들이 나타나고 있다. 먼저는 난민들이 더 오랜 시간 동안 발생할 것이라는 뜻이고, 세상은 쏟아져 나오는 우크라이나인들을 어떻게든 수용해야 할 것으로 보인다. 러시아도 전쟁의 장기화 때문에 경제적으로 큰 타격을 받는 중이다. 이 모든 건 ‘물리 공간’에서 벌어지는 일이라고 할 수 있다.
[이미지 = utoimage]
사이버 공간에서는 어떨까? 우크라이나의 사이버 공간에서는 연일 해킹 공격이 일어나고, 이 때문에 큰 피해가 날마다 생기고 있다. 우크라이나 역시 가만히 당하고 있지만은 않고 있으며, 러시아가 충분히 귀찮을 만한 일들을 사이버 공간에서 만들어내고 있다. 하지만 유럽과 미국 등 여러 국가들이 러시아에 대한 제재를 강화하면서 이 상황 역시 바뀌어 갈 전망이다. 카네기멜론 대학의 라훌 텔랑(Rahul Telang) 교수는 “러시아의 사이버 공격은 더 심해질 것이고, 그러면서 우크라이나 국경을 넘어갈 것”이라고 예측하고 있다. “제재 수위가 높아지면 서방 국가들도 표적이 될 것이라고 보고 있습니다.”
이렇게 보는 이유는 러시아가 그 동안 적국들을 겨냥해 사이버 공격을 꾸준히 감행해 온 나라이기 때문이다. 2007년 러시아 해커들은 에스토니아의 인터넷 시스템을 마비시키고 정부 및 금융 기관들에 디도스 공격을 퍼부었다. 에스토니아가 세계 2차 대전 기념관을 이전시키겠다고 한 것이 그 이유였다.
그 다음 해에 러시아는 조지아를 침략하면서 동시에 사이버 공격도 감행했었다. 2009년에는 키르기즈스탄의 사이버 공간을 공격하면서 미군 기지 관련 정책을 결정하는 데에 압박을 가하기도 했다. 2014년 크리미아 반도 점령 직후 러시아는 디도스 공격으로 우크라이나의 인터넷을 마비시키기도 했었다.
러시아는 우크라이나에 대한 공격을 감행하다가 전 세계적인 피해를 일으키기도 했었다. 가장 대표적인 사례가 낫페트야(NotPetya)다. 우크라이나에서 널리 사용되는 회계 시스템의 소프트웨어 업데이트 파일을 살짝 감염시킨 것이 낫페트야였는데, 이것이 일파만파 퍼져간 것이다. (낫페트야가 자가 증식 가능한 웜이었기 때문이다.) 이는 2020년 솔라윈즈(SolarWinds) 사태와 매우 흡사하다. 솔라윈즈 사태 역시 배후 세력이 러시아인 것으로 알려져 있다.
낫페트야는 처음 발견되었을 때 랜섬웨어인 것처럼 보였다. 당시 크게 화제가 되었던 워너크라이(WannaCry) 랜섬웨어와 유사한 것처럼 분석됐다. 그러나 얼마 지나지 않아 피해자들로부터 돈을 받는 게 아니라 파일을 아예 파괴하는 것이 낫페트야의 진정한 목적이라는 것이 드러났고, 현재까지 약 100억 달러 이상의 피해를 누적시켜 왔다. 거대 제약회사인 머크(Merck)는 14억 달러의 피해를, 제과 회사인 몬델레즈 인터내셔널(Mondelez International)은 1억 달러 이상의 피해를 입은 것으로 알려져 있다.
참고로 몬델레즈의 경우 이 낫페트야 사건 때문에 아직도 소송을 벌이고 있다. 몬델레즈의 보험 회사인 취리히보험 사가 낫페트야 공격에 대해 보상을 하지 못한다는 입장이기 때문이다. 취리히보험 측은 낫페트야 사건이 “전쟁에 준하는 상황 속에서 발생한 일”이기 때문에 보상 대상이 아니라고 주장하고 있다.
사이버 공격자들은 군대보다 먼저 움직였다
러시아의 침략으로 인해 벌어진 이번 전쟁의 가장 큰 특징은 인터넷이 전쟁의 ‘최전방’이 되었다는 것이다. 위스퍼게이트(WhisperGate)라는 파일 삭제형 멀웨어는 우크라이나 정부 기관의 컴퓨터에 이미 1월 13일부터 침투해 있었다. 낫페트야처럼 랜섬웨어로 위장되어 있었다. 하지만 피해자로부터 돈을 받거나 파일을 복구시키는 메커니즘을 전혀 가지고 있지 않았다. MS가 1월 15일에 발견해 발표했다.
그 다음 2월 23일, 또 다른 데이터 삭제형 멀웨어인 헤르메틱와이퍼(HermeticWiper)가 발견됐다. 보안 업체 이셋(ESET)이 처음 발견해 발표했는데, 페이로드의 컴파일 날짜는 12월인 것으로 분석됐다. 이런 멀웨어들이 아니더라도, 현재 우크라이나의 각종 중요 시스템들에는 디도스 공격이 꾸준히 발생하는 중이다.
이런 상황에서 미국 CISA는 지난 토요일 FBI와 공동으로 경고문을 발표했다. 위스퍼게이트와 헤르메틱와이퍼가 우크라이나 국경 밖으로 새나와 다른 조직들을 공격할 가능성이 있다는 내용이었다. 이 경고문에는 해당 멀웨어의 공격을 탐지하는 데 도움이 되는 침해지표와 같은 정보가 포함되어 있기도 했다. 세계적인 기술 기업들인 마이크로소프트와 페이스북, 트위터는 이런 정부기관의 움직임에 맞춰 러시아의 사이버 공격으로부터 사용자 계정을 안전하게 보호할 수 있는 방안들을 마련하고 있다.
러시아 역시 친구들이 있다. 벨라루스의 경우 군 병력과 해커 모두 지원하고 있는 것으로 알려져 있다. 러시아의 랜섬웨어 갱단 역시 러시아 편에 참전했다. 콘티(Conti)라는 덩치 큰 랜섬웨어 갱단인데 지난 주 금요일 러시아 정부를 지원한다고 공식 발표했다. “러시아 정부를 겨냥하여 사이버 공격을 조직하거나 실제로 감행한다면, 콘티는 전력을 다해 보복하고 적국의 기반 시설을 망가트릴 것”이라는 엄포와 함께였다.
하지만 이 엄포는 오히려 역효과를 냈다. 발표 이틀 후 누군가 지난 1년 동안 콘티 내부 인원들 간 대화 로그를 유출시킨 것이다. 6만 개 이상의 메시지들로 구성된 데이터였고, 이를 통해 콘티와 러시아 첩보 기관들 사이의 연결고리가 드러났다.
한편, 우크라이나 정부는 전 세계 해커들에게 도움을 요청했다. 러시아의 해킹 공격으로부터 방어하는 데 도움을 달라며, ‘IT 군’을 모집한 것이다. 수많은 사람들이 여기에 응했다. 그러면서 러시아에 대한 사이버 공격이 증가했다. 러시아의 국영 매체인 타스(TASS)도 당했다. 스스로를 어나니머스(Anonymous)의 일원이라고 주장한 한 단체는 해상 추적 데이터에 침투해 들어가 푸틴 러시아 대통령이 소유한 9,700만 달러짜리 초호화 요트의 이름을 FCKPTN(푸틴 대통령의 이름과 욕설을 섞은 것_역주)으로 바꿔놓기도 했다.
하지만 여태까지 러시아나 우크라이나 모두 치명적이라고 할 만한 피해를 사이버 공격으로부터 받진 않았다. 이번 주 월요일 밤을 기준으로 우크라이나의 인터넷과 사회기반시설은 잘 작동하는 중이다. 러시아의 공격을 자주 받아온 나라인 만큼 대비가 잘 되어 있기도 했고, 실제 국제적인 ‘해킹 방어’ 원조가 있기도 했다. 그런데 실제로는 아직 러시아가 본격적으로 아무 것도 시작하지 않은 것일 수도 있다.
앞으로 벌어질 일은?
미국의 사이버 보안 전담 기관인 CISA에 의하면 아직까지 미국이나 서방 국가 등 우크라이나를 지원하는 곳들을 표적으로 삼은 사이버 공격 행위가 발견되지는 않았다고 한다. 그러나 이 상태로 끝까지 유지될 가능성은 그리 높지 않을 것이라고 한다. 이 서방 국가들이 힘을 합해 러시아를 제재하고 있기 때문이다. 그래서 CISA는 “조만간 있을 파괴형 공격(파일 삭제 멀웨어를 사용한 공격)에 모든 조직들이 대비해야 한다”고 권고했다. 각종 권고 사항과 무료 방어 도구 및 서비스들도 소개됐다.
소개된 무료 서비스 중 하나는 CISA가 직접 제공하는 ‘주간 자동 취약점 스캔 서비스’이다. 그 외에도 CISA는 MS, 구글, IBM, 클라우드플레어, 맨디언트 등 굵직한 IT 업체들과 파트너십을 맺고 미국 민간 기업들에 무료 피싱 평가 도구, 원격 모의 해킹 도구와 서비스 등 다양한 방어 솔루션들을 제공하고 있기도 하다.
그 외 다른 많은 조직들도 CISA와 비슷한 일을 독자적으로 하고 있다. 포레스터(Forrester)의 경우 우크라이나 사태로부터 불거질 각종 사이버 사건들에 어떻게 대비해야 할지 알려주는 활동을 벌이고 있다. 물론 각 조직에 맞는 맞춤형 제안을 하는 건 아니지만 말이다. 부즈앨런해밀턴(Booz Allen Hamilton)의 사이버 보안 전략 담당인 네이트 비치웨스트모어랜드(Nate Beach-Westmoreland)는 “지역과 산업 분류에 따라 다양한 일들이 일어날 수 있다”고 말하며 “우크라이나에서 사업을 하고 있다면 최악의 경우를 상정해야 한다”고 경고했다. “우크라이나 사업부와는 철저하게 망분리를 하는 것이 지금으로서는 최선책입니다.”
우크라이나에 있지 않더라도, 서방 국가의 사회기반시설이나 국방 산업과 관련된 조직들이라면 마찬가지로 최악의 상황에 대비해야 한다고 그는 주장한다. “레드팀 검사와 훈련을 실시하는 게 좋습니다. 임원들까지도 전부 참여하여 ‘워게임’을 진행하는 것을 권장합니다. 전쟁이 장기화 된다면 러시아가 우크라이나의 친구들에까지 마수를 뻗칠 것이 분명하거든요.”
소기업이라고 해서 안심할 수 있는 건 아니다. 굳이 표적이 되지 않더라도 ‘부수적 피해’를 입을 수 있기 때문이다. 낫페트야가 그랬던 것처럼 말이다. 컨설팅 업체인 스톤턴(StoneTurn)의 총괄인 네이선 피셔(Nathan Fisher)는 “오히려 러시아가 노릴 게 뻔한 조직들은 별로 걱정할 게 없다”는 의견이다. “푸틴 대통령이 예를 들어 미국 기반 시설을 공격한다는 건 ‘선을 넘는’ 행위입니다. 푸틴 스스로도 어마어마한 보복과 후폭풍을 감당할 각오가 되어 있어야 하죠. 오히려 보복의 명분이 서기 애매한 작은 조직들을 괴롭히는 게 더 효과적일 수 있습니다.”
또한, 피셔는 “보복의 리스크를 떠안으면서까지 미국의 사회기반시설을 공격한다고 했을 때 우크라이나와의 전쟁에서 러시아가 얻어갈 게 무엇인가?”라고 묻기도 한다. “전시 상황이죠. 러시아가 선을 넘는 순간 미국이나 서방 국가가 예전처럼 구두 경고로 그치지 않을 겁니다. 푸틴도 이를 잘 알고 있을 거라고 봅니다.”
보안 업체 앤빌로직(Anvilogic)의 CEO 카식 카난(Karthik Kannan)은 “러시아 해커들이 할 만한 공격의 유형도 고려해야 한다”고 말한다. “예를 들어 사이트 위변조 공격이나 디도스 공격이 발생했다고 했을 때, 그 배후가 핵티비스트였다면 아마 그 이후에 공격이 더 이어지지는 않을 거라고 예상할 수 있습니다. 위변조와 디도스를 통해 경고하는 것이 그들의 일반적인 목적이니까요. 하지만 러시아 정부를 등에 업은 해커다? 그러면 위변조와 디도스를 통해 시선을 끌고 뒤에서 다른 공격을 할 거라고 예상해야 합니다. 다른 누구도 아닌 러시아가 배후에 있는 공격이 있을지도 모른다는 건 이런 것까지도 고려하여 방어하라는 경고가 됩니다.”
그래서 보안 책임자들은 우크라이나 사태로부터 악영향을 받을 것으로 예상된다면 보안을 바짝 강화할 필요가 있다. 인력을 늘린다든지, 일반 임직원 대상 보안 교육 시간을 늘린다든지, 보안 서비스에 대한 투자 규모를 키우거나 신기술을 도입하는 것 등이 여기에 포함된다. 카난은 “보안관제센터가 의외로 대단히 오래된 기술로 구성되어 있다”며 “이번 사태를 계기로 하여 현대화할 필요가 있다”고 강조한다.
사이버 보안을 강조할 수 있는 기회
우크라이나 소식이 각종 매체의 온 지면을 장식하고 있다는 건 보안 교육을 강화할 기회가 왔다는 뜻이다. 텔랑은 “그 동안 보안에 대해 미적지근했던 사람이라도 우크라이나와 러시아 사이에서 벌어지는 일들을 예로 들면 흥미를 가질지 모른다”고 말한다. “러시아 해커가 이런 저런 행위들을 했을 때, 혹은 러시아 해킹 도구가 의도치 않게 우리 회사를 건드리기 시작했을 때, 우리는 무엇을 할 것인가라고 물어보세요. 최신 이슈인지라 관심도가 남다를 겁니다.”
뿐만 아니라 그 동안 사내 도입하기 힘들었던 각종 보안 규정들을 도입할 기회가 될 수도 있다. “비밀번호 관리 규정을 보다 철저하게 도입할 수도 있고요, 비밀번호 관리 프로그램을 이참에 사용해 보자고 주장할 수도 있죠. 이중 인증 시스템을 들여올 수도 있겠고요.” 보안 업체 사이버스카웃(Cyberscout)의 창립자인 아담 레빈(Adam Levin)의 설명이다. “먼 나라의 이야기라고 볼 수도 있습니다만, 아닐 수도 있거든요. 만약 우크라이나와의 실질적인 연결고리가 있는 회사라면 지금의 기회를 ‘보안 강화의 계기’로 만드는 데 주저하지 말아야 합니다.”
그렇게까지 능동적으로 변화를 꾀할 분위기가 아니라면, 최소한 최악의 상황에서 도움을 요청할 만한 보안 전문가나 보안 전문 회사, 국가기관을 미리 알아두는 것도 나쁘지 않다. “많은 조직들이 의외로 보안 전문가나 전문 업체에 대한 정보가 부족합니다. 대부분 해킹이 일어나지 않을 거라거나, 지금 IT 인력으로 충분히 대처할 수 있다고 여기기 때문입니다. 국가들이 나서면 불가항력적인 일들이 일어난다는 걸 마음에 새기고 유능한 보안 전문가들과 파트너십을 미리 마련해 두면 나중에 큰 도움이 됩니다.” 레빈의 설명이다.
이렇게 준비했는데 정작 러시아와 우크라이나가 평화 조약을 맺는다면 어떨까? 헛수고가 된 걸까? 아니다. 평화 조약의 가능성 자체가 낮기도 하지만, 실제로 성사된다고 하더라도 그건 물리적 군사 운용에 더 적용되는 이야기이다. 즉, 두 나라는(혹은 더 많은 관련 국가들은) 보이지 않는 곳에서 사이버 공격을 끊임없이 주고받을 것이라는 뜻이다. 전쟁은 끝날지 모르지만, 사이버전은 한참 뒤에야 조금 느슨해질 뿐 사라지지 않는다.
보안 업체 콘트라포스(ContraForce)의 CEO 스탄 골룹칙(Stan Golubchik)은 “두 나라 사이의 사이버전 행위는 한두 해 안에 끝나지 않는다”고 장담한다. “설사 두 나라 사이의 해킹 공격이 사그라진다고 해도, 정부의 지원을 받는 해커들은 계속해서 활동을 할 수밖에 없습니다. 평화의 시대에도 모든 정부들은 해커와 스파이를 운영할 것이기 때문입니다. 이미 사이버 공간은 24시간 멈추지 않는 전쟁터입니다.”
글 : 마리아 코롤로프(Maria Korolov), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 우크라이나에서의 위기 상황이 고조되고 있으며, 러시아는 생각보다 승리를 쉽게 쟁취하지 못할 것처럼 보인다. 이 때문에 생각지도 못한 효과들이 나타나고 있다. 먼저는 난민들이 더 오랜 시간 동안 발생할 것이라는 뜻이고, 세상은 쏟아져 나오는 우크라이나인들을 어떻게든 수용해야 할 것으로 보인다. 러시아도 전쟁의 장기화 때문에 경제적으로 큰 타격을 받는 중이다. 이 모든 건 ‘물리 공간’에서 벌어지는 일이라고 할 수 있다.
[이미지 = utoimage]
사이버 공간에서는 어떨까? 우크라이나의 사이버 공간에서는 연일 해킹 공격이 일어나고, 이 때문에 큰 피해가 날마다 생기고 있다. 우크라이나 역시 가만히 당하고 있지만은 않고 있으며, 러시아가 충분히 귀찮을 만한 일들을 사이버 공간에서 만들어내고 있다. 하지만 유럽과 미국 등 여러 국가들이 러시아에 대한 제재를 강화하면서 이 상황 역시 바뀌어 갈 전망이다. 카네기멜론 대학의 라훌 텔랑(Rahul Telang) 교수는 “러시아의 사이버 공격은 더 심해질 것이고, 그러면서 우크라이나 국경을 넘어갈 것”이라고 예측하고 있다. “제재 수위가 높아지면 서방 국가들도 표적이 될 것이라고 보고 있습니다.”
이렇게 보는 이유는 러시아가 그 동안 적국들을 겨냥해 사이버 공격을 꾸준히 감행해 온 나라이기 때문이다. 2007년 러시아 해커들은 에스토니아의 인터넷 시스템을 마비시키고 정부 및 금융 기관들에 디도스 공격을 퍼부었다. 에스토니아가 세계 2차 대전 기념관을 이전시키겠다고 한 것이 그 이유였다.
그 다음 해에 러시아는 조지아를 침략하면서 동시에 사이버 공격도 감행했었다. 2009년에는 키르기즈스탄의 사이버 공간을 공격하면서 미군 기지 관련 정책을 결정하는 데에 압박을 가하기도 했다. 2014년 크리미아 반도 점령 직후 러시아는 디도스 공격으로 우크라이나의 인터넷을 마비시키기도 했었다.
러시아는 우크라이나에 대한 공격을 감행하다가 전 세계적인 피해를 일으키기도 했었다. 가장 대표적인 사례가 낫페트야(NotPetya)다. 우크라이나에서 널리 사용되는 회계 시스템의 소프트웨어 업데이트 파일을 살짝 감염시킨 것이 낫페트야였는데, 이것이 일파만파 퍼져간 것이다. (낫페트야가 자가 증식 가능한 웜이었기 때문이다.) 이는 2020년 솔라윈즈(SolarWinds) 사태와 매우 흡사하다. 솔라윈즈 사태 역시 배후 세력이 러시아인 것으로 알려져 있다.
낫페트야는 처음 발견되었을 때 랜섬웨어인 것처럼 보였다. 당시 크게 화제가 되었던 워너크라이(WannaCry) 랜섬웨어와 유사한 것처럼 분석됐다. 그러나 얼마 지나지 않아 피해자들로부터 돈을 받는 게 아니라 파일을 아예 파괴하는 것이 낫페트야의 진정한 목적이라는 것이 드러났고, 현재까지 약 100억 달러 이상의 피해를 누적시켜 왔다. 거대 제약회사인 머크(Merck)는 14억 달러의 피해를, 제과 회사인 몬델레즈 인터내셔널(Mondelez International)은 1억 달러 이상의 피해를 입은 것으로 알려져 있다.
참고로 몬델레즈의 경우 이 낫페트야 사건 때문에 아직도 소송을 벌이고 있다. 몬델레즈의 보험 회사인 취리히보험 사가 낫페트야 공격에 대해 보상을 하지 못한다는 입장이기 때문이다. 취리히보험 측은 낫페트야 사건이 “전쟁에 준하는 상황 속에서 발생한 일”이기 때문에 보상 대상이 아니라고 주장하고 있다.
사이버 공격자들은 군대보다 먼저 움직였다
러시아의 침략으로 인해 벌어진 이번 전쟁의 가장 큰 특징은 인터넷이 전쟁의 ‘최전방’이 되었다는 것이다. 위스퍼게이트(WhisperGate)라는 파일 삭제형 멀웨어는 우크라이나 정부 기관의 컴퓨터에 이미 1월 13일부터 침투해 있었다. 낫페트야처럼 랜섬웨어로 위장되어 있었다. 하지만 피해자로부터 돈을 받거나 파일을 복구시키는 메커니즘을 전혀 가지고 있지 않았다. MS가 1월 15일에 발견해 발표했다.
그 다음 2월 23일, 또 다른 데이터 삭제형 멀웨어인 헤르메틱와이퍼(HermeticWiper)가 발견됐다. 보안 업체 이셋(ESET)이 처음 발견해 발표했는데, 페이로드의 컴파일 날짜는 12월인 것으로 분석됐다. 이런 멀웨어들이 아니더라도, 현재 우크라이나의 각종 중요 시스템들에는 디도스 공격이 꾸준히 발생하는 중이다.
이런 상황에서 미국 CISA는 지난 토요일 FBI와 공동으로 경고문을 발표했다. 위스퍼게이트와 헤르메틱와이퍼가 우크라이나 국경 밖으로 새나와 다른 조직들을 공격할 가능성이 있다는 내용이었다. 이 경고문에는 해당 멀웨어의 공격을 탐지하는 데 도움이 되는 침해지표와 같은 정보가 포함되어 있기도 했다. 세계적인 기술 기업들인 마이크로소프트와 페이스북, 트위터는 이런 정부기관의 움직임에 맞춰 러시아의 사이버 공격으로부터 사용자 계정을 안전하게 보호할 수 있는 방안들을 마련하고 있다.
러시아 역시 친구들이 있다. 벨라루스의 경우 군 병력과 해커 모두 지원하고 있는 것으로 알려져 있다. 러시아의 랜섬웨어 갱단 역시 러시아 편에 참전했다. 콘티(Conti)라는 덩치 큰 랜섬웨어 갱단인데 지난 주 금요일 러시아 정부를 지원한다고 공식 발표했다. “러시아 정부를 겨냥하여 사이버 공격을 조직하거나 실제로 감행한다면, 콘티는 전력을 다해 보복하고 적국의 기반 시설을 망가트릴 것”이라는 엄포와 함께였다.
하지만 이 엄포는 오히려 역효과를 냈다. 발표 이틀 후 누군가 지난 1년 동안 콘티 내부 인원들 간 대화 로그를 유출시킨 것이다. 6만 개 이상의 메시지들로 구성된 데이터였고, 이를 통해 콘티와 러시아 첩보 기관들 사이의 연결고리가 드러났다.
한편, 우크라이나 정부는 전 세계 해커들에게 도움을 요청했다. 러시아의 해킹 공격으로부터 방어하는 데 도움을 달라며, ‘IT 군’을 모집한 것이다. 수많은 사람들이 여기에 응했다. 그러면서 러시아에 대한 사이버 공격이 증가했다. 러시아의 국영 매체인 타스(TASS)도 당했다. 스스로를 어나니머스(Anonymous)의 일원이라고 주장한 한 단체는 해상 추적 데이터에 침투해 들어가 푸틴 러시아 대통령이 소유한 9,700만 달러짜리 초호화 요트의 이름을 FCKPTN(푸틴 대통령의 이름과 욕설을 섞은 것_역주)으로 바꿔놓기도 했다.
하지만 여태까지 러시아나 우크라이나 모두 치명적이라고 할 만한 피해를 사이버 공격으로부터 받진 않았다. 이번 주 월요일 밤을 기준으로 우크라이나의 인터넷과 사회기반시설은 잘 작동하는 중이다. 러시아의 공격을 자주 받아온 나라인 만큼 대비가 잘 되어 있기도 했고, 실제 국제적인 ‘해킹 방어’ 원조가 있기도 했다. 그런데 실제로는 아직 러시아가 본격적으로 아무 것도 시작하지 않은 것일 수도 있다.
앞으로 벌어질 일은?
미국의 사이버 보안 전담 기관인 CISA에 의하면 아직까지 미국이나 서방 국가 등 우크라이나를 지원하는 곳들을 표적으로 삼은 사이버 공격 행위가 발견되지는 않았다고 한다. 그러나 이 상태로 끝까지 유지될 가능성은 그리 높지 않을 것이라고 한다. 이 서방 국가들이 힘을 합해 러시아를 제재하고 있기 때문이다. 그래서 CISA는 “조만간 있을 파괴형 공격(파일 삭제 멀웨어를 사용한 공격)에 모든 조직들이 대비해야 한다”고 권고했다. 각종 권고 사항과 무료 방어 도구 및 서비스들도 소개됐다.
소개된 무료 서비스 중 하나는 CISA가 직접 제공하는 ‘주간 자동 취약점 스캔 서비스’이다. 그 외에도 CISA는 MS, 구글, IBM, 클라우드플레어, 맨디언트 등 굵직한 IT 업체들과 파트너십을 맺고 미국 민간 기업들에 무료 피싱 평가 도구, 원격 모의 해킹 도구와 서비스 등 다양한 방어 솔루션들을 제공하고 있기도 하다.
그 외 다른 많은 조직들도 CISA와 비슷한 일을 독자적으로 하고 있다. 포레스터(Forrester)의 경우 우크라이나 사태로부터 불거질 각종 사이버 사건들에 어떻게 대비해야 할지 알려주는 활동을 벌이고 있다. 물론 각 조직에 맞는 맞춤형 제안을 하는 건 아니지만 말이다. 부즈앨런해밀턴(Booz Allen Hamilton)의 사이버 보안 전략 담당인 네이트 비치웨스트모어랜드(Nate Beach-Westmoreland)는 “지역과 산업 분류에 따라 다양한 일들이 일어날 수 있다”고 말하며 “우크라이나에서 사업을 하고 있다면 최악의 경우를 상정해야 한다”고 경고했다. “우크라이나 사업부와는 철저하게 망분리를 하는 것이 지금으로서는 최선책입니다.”
우크라이나에 있지 않더라도, 서방 국가의 사회기반시설이나 국방 산업과 관련된 조직들이라면 마찬가지로 최악의 상황에 대비해야 한다고 그는 주장한다. “레드팀 검사와 훈련을 실시하는 게 좋습니다. 임원들까지도 전부 참여하여 ‘워게임’을 진행하는 것을 권장합니다. 전쟁이 장기화 된다면 러시아가 우크라이나의 친구들에까지 마수를 뻗칠 것이 분명하거든요.”
소기업이라고 해서 안심할 수 있는 건 아니다. 굳이 표적이 되지 않더라도 ‘부수적 피해’를 입을 수 있기 때문이다. 낫페트야가 그랬던 것처럼 말이다. 컨설팅 업체인 스톤턴(StoneTurn)의 총괄인 네이선 피셔(Nathan Fisher)는 “오히려 러시아가 노릴 게 뻔한 조직들은 별로 걱정할 게 없다”는 의견이다. “푸틴 대통령이 예를 들어 미국 기반 시설을 공격한다는 건 ‘선을 넘는’ 행위입니다. 푸틴 스스로도 어마어마한 보복과 후폭풍을 감당할 각오가 되어 있어야 하죠. 오히려 보복의 명분이 서기 애매한 작은 조직들을 괴롭히는 게 더 효과적일 수 있습니다.”
또한, 피셔는 “보복의 리스크를 떠안으면서까지 미국의 사회기반시설을 공격한다고 했을 때 우크라이나와의 전쟁에서 러시아가 얻어갈 게 무엇인가?”라고 묻기도 한다. “전시 상황이죠. 러시아가 선을 넘는 순간 미국이나 서방 국가가 예전처럼 구두 경고로 그치지 않을 겁니다. 푸틴도 이를 잘 알고 있을 거라고 봅니다.”
보안 업체 앤빌로직(Anvilogic)의 CEO 카식 카난(Karthik Kannan)은 “러시아 해커들이 할 만한 공격의 유형도 고려해야 한다”고 말한다. “예를 들어 사이트 위변조 공격이나 디도스 공격이 발생했다고 했을 때, 그 배후가 핵티비스트였다면 아마 그 이후에 공격이 더 이어지지는 않을 거라고 예상할 수 있습니다. 위변조와 디도스를 통해 경고하는 것이 그들의 일반적인 목적이니까요. 하지만 러시아 정부를 등에 업은 해커다? 그러면 위변조와 디도스를 통해 시선을 끌고 뒤에서 다른 공격을 할 거라고 예상해야 합니다. 다른 누구도 아닌 러시아가 배후에 있는 공격이 있을지도 모른다는 건 이런 것까지도 고려하여 방어하라는 경고가 됩니다.”
그래서 보안 책임자들은 우크라이나 사태로부터 악영향을 받을 것으로 예상된다면 보안을 바짝 강화할 필요가 있다. 인력을 늘린다든지, 일반 임직원 대상 보안 교육 시간을 늘린다든지, 보안 서비스에 대한 투자 규모를 키우거나 신기술을 도입하는 것 등이 여기에 포함된다. 카난은 “보안관제센터가 의외로 대단히 오래된 기술로 구성되어 있다”며 “이번 사태를 계기로 하여 현대화할 필요가 있다”고 강조한다.
사이버 보안을 강조할 수 있는 기회
우크라이나 소식이 각종 매체의 온 지면을 장식하고 있다는 건 보안 교육을 강화할 기회가 왔다는 뜻이다. 텔랑은 “그 동안 보안에 대해 미적지근했던 사람이라도 우크라이나와 러시아 사이에서 벌어지는 일들을 예로 들면 흥미를 가질지 모른다”고 말한다. “러시아 해커가 이런 저런 행위들을 했을 때, 혹은 러시아 해킹 도구가 의도치 않게 우리 회사를 건드리기 시작했을 때, 우리는 무엇을 할 것인가라고 물어보세요. 최신 이슈인지라 관심도가 남다를 겁니다.”
뿐만 아니라 그 동안 사내 도입하기 힘들었던 각종 보안 규정들을 도입할 기회가 될 수도 있다. “비밀번호 관리 규정을 보다 철저하게 도입할 수도 있고요, 비밀번호 관리 프로그램을 이참에 사용해 보자고 주장할 수도 있죠. 이중 인증 시스템을 들여올 수도 있겠고요.” 보안 업체 사이버스카웃(Cyberscout)의 창립자인 아담 레빈(Adam Levin)의 설명이다. “먼 나라의 이야기라고 볼 수도 있습니다만, 아닐 수도 있거든요. 만약 우크라이나와의 실질적인 연결고리가 있는 회사라면 지금의 기회를 ‘보안 강화의 계기’로 만드는 데 주저하지 말아야 합니다.”
그렇게까지 능동적으로 변화를 꾀할 분위기가 아니라면, 최소한 최악의 상황에서 도움을 요청할 만한 보안 전문가나 보안 전문 회사, 국가기관을 미리 알아두는 것도 나쁘지 않다. “많은 조직들이 의외로 보안 전문가나 전문 업체에 대한 정보가 부족합니다. 대부분 해킹이 일어나지 않을 거라거나, 지금 IT 인력으로 충분히 대처할 수 있다고 여기기 때문입니다. 국가들이 나서면 불가항력적인 일들이 일어난다는 걸 마음에 새기고 유능한 보안 전문가들과 파트너십을 미리 마련해 두면 나중에 큰 도움이 됩니다.” 레빈의 설명이다.
이렇게 준비했는데 정작 러시아와 우크라이나가 평화 조약을 맺는다면 어떨까? 헛수고가 된 걸까? 아니다. 평화 조약의 가능성 자체가 낮기도 하지만, 실제로 성사된다고 하더라도 그건 물리적 군사 운용에 더 적용되는 이야기이다. 즉, 두 나라는(혹은 더 많은 관련 국가들은) 보이지 않는 곳에서 사이버 공격을 끊임없이 주고받을 것이라는 뜻이다. 전쟁은 끝날지 모르지만, 사이버전은 한참 뒤에야 조금 느슨해질 뿐 사라지지 않는다.
보안 업체 콘트라포스(ContraForce)의 CEO 스탄 골룹칙(Stan Golubchik)은 “두 나라 사이의 사이버전 행위는 한두 해 안에 끝나지 않는다”고 장담한다. “설사 두 나라 사이의 해킹 공격이 사그라진다고 해도, 정부의 지원을 받는 해커들은 계속해서 활동을 할 수밖에 없습니다. 평화의 시대에도 모든 정부들은 해커와 스파이를 운영할 것이기 때문입니다. 이미 사이버 공간은 24시간 멈추지 않는 전쟁터입니다.”
글 : 마리아 코롤로프(Maria Korolov), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 th.jpg)
 TH.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
